“不拔网线”是HVV蓝军的底裤和尊严 – 作者:zyaiprotect

今年HVV第一波过去了，各种啼笑皆非的“韩毅梗”我就不赘述了，反正大家都心知肚明，毕竟0-Day来袭，谁也挡不住，不然也不会只靠“拔网线”保分保命了。

造成这种局面的根源，在于如今的IT系统已经全面实现数字化了。这种转型减少了对业务的限制，并将消费者、数据、设备、组织的边界隔离开来，因此导致网络威胁日益严重。说到底，造成这种局面的本质，是由于新的攻击面和攻击向量往往超过传统安全防御系统的感知范围、处理能力和响应速度。

本次参与HVV的某安全公司负责人在HVV第一天发圈吐槽“昨天到今天已经处置了上百起真实的并且成功入侵事件了，感觉一是red队太疯狂，二是纳闷怎么拦截不住啊，是都没买WAF还是怎么······

今天我们就拿HW中被“拔网线”最多的“建在微信公众平台上的在线应用业务”，来举个例子

下图是某单位在其微信公众号上发出的一则通知

（问谁就怂·手绘图保平安）

微营业厅检修维护，时间点是4月*日～4月**日～与HVV时间“不谋而合”。为什么“各大单位”微营业厅都集体在这个时间点集体检修？

原因在于，当开发者在微信公众号上接入开发者自己服务器的内容时，黑客不仅可以利用漏洞引导用户下载木马程序，危害用户的账户安全，还可以入侵数据库盗取网站信息，甚至控制服务器。不关停就只能任由red队肆意。又扣分，又影响业务，又丢脸，索性，咱就关了得了

而我们日常认知的WAF，云WAF，下一代WAF等等，还只停留在对部分已知漏洞的防护上，打补丁这一招，还是“经久不衰” 。而面对未知漏洞，在被攻击，被脱库后，才后知后觉的打补丁，真心为时已晚。尤其在HVV中，red军不像黑客，偷偷的来，带走一堆数据，不让你知道；red军在突破后，你除了被扣分扣分，还会被按在地上摩擦摩擦·····

上面我们也提到了，未知攻击（0-Day）是当前安全威胁防护的关键。HVV中，许多被珍藏的，甚至针对各安全厂商的0-Day被拿出，在red军面前，在微信端应用系统的防护面前，只能停业务，保平安了。

中国工程院院士于全也认为，防火墙、入侵检测，WAF等一般手段应对传统网络攻击尚可，但面对新型未知攻击已经有所乏力。

面对全新的威胁攻击局势，安全产品需要变革！机器学习是解决安全问题的钥匙！

1、搭建自安全防护模型，实现主动防御

从传统的识别恶意攻击转变为对防护系统的多重逻辑学习，从而为被防护应用搭建专有的自安全防护模型，实现量体裁衣的主动防御。

* 不惧任何0-Day

千变万化，各种姿势，都无法通过【经过对系统多重学习后建立的自安全防护模型】的火眼金睛。算法本身逻辑所决定，其防护逻辑是以被防护应用的底层逻辑、访问逻辑和业务逻辑为基础，从而判定行为的安全性，从设计之初就明确了100%防未知攻击的原则，可实现无延迟未知攻击防御。

* 本地部署，没被黑的可能

部署在用户侧，在完成机器学习后将完全置于用户的监管、监控之下，无需运维人员的后继介入。且所有运行过程中产生的数据（包括日志等）都保存在用户侧。

* 解决blue军黑眼圈危机

降低了对安全运维人员的依赖，不再需要熬最长的夜，防最突然的0-Day！

来源：freebuf.com 2021-05-20 16:12:14 by: zyaiprotect